SSMS의 SQL 취약성 평가는 SQL Server 2012(11.x) 이상 버전에서 연결이 끊긴 상태로 SQL Server 데이터베이스의 발생 가능한 보안 구성 오류를 검사하고 보고하는 방법을 제공했습니다. 이 기능은 Microsoft Defender for SQL이라는 포괄적인 데이터베이스 보안 패키지로 통합되어, 클라우드 및 온-프레미스 리소스에서 대규모로 취약성 평가 검사를 수행하고 데이터베이스에 대한 실시간 공격을 식별할 수 있습니다. Defender for SQL은 고객에게 검사 규칙 및 업데이트된 위협 방지 알고리즘에 대한 최신 업데이트를 제공합니다.
반대로 SSMS의 SQL 취약성 평가는 클라우드용 Defender 결과를 사용하지 않으며 로컬 검사의 결과를 업로드할 수도 없습니다. 또한 SSMS의 SQL 취약성 평가는 실시간으로 업데이트를 받지 않으므로 클라우드용 Defender의 업데이트된 결과와의 불일치가 발생할 수 있습니다. 고객의 데이터베이스 보안 환경의 추가적인 혼란과 불일치를 방지하기 위해 버전 19.1부터 SSMS에서 SQL 취약성 평가를 제거했습니다. SQL 취약성 평가는 이전 SSMS 버전에서 계속 사용할 수 있지만 SSMS 또는 SQL 버전에 관계없이 Microsoft Defender for SQL을 사용하여 환경의 보안 구성을 평가하는 것이 좋습니다.
SQL VA(취약성 평가)는 보안 상태를 파악할 수 있도록 도와주는 서비스이며 보안 문제를 해결하고 데이터베이스 보안을 강화할 수 있는 실행 가능한 단계를 포함하고 있습니다. 이 도구를 사용하여 다음과 같은 도움을 받을 수 있습니다.
데이터베이스 검색 보고서가 필요한 준수 요구 사항 충족
데이터 개인 정보 보호 표준 충족
변경 사항을 추적하기 어려운 동적 데이터베이스 환경 모니터링
VA 서비스는 데이터베이스에서 직접 검사를 실행합니다. 이 서비스는 보안 취약성을 플래그 지정하고 잘못된 구성, 과도한 권한 및 보호되지 않은 중요한 데이터와 같은 모범 사례의 편차를 강조하는 규칙의 기술 자료를 사용합니다. 이 규칙은 Microsoft에서 권장하는 모범 사례에 따라 데이터베이스와 중요한 데이터에 가장 큰 위협이 되는 보안 문제에 중점을 두고 있습니다. 또한 이러한 규칙은 규정 준수 표준을 충족하는 다양한 규정 본문의 여러 요구 사항을 나타냅니다.
검색 결과에는 각 문제를 해결하는 실행 가능한 단계가 포함되며 해당하는 경우 사용자 지정된 재구성 스크립트가 제공됩니다. 권한 구성, 기능 구성 및 데이터베이스 설정에 대한 허용 가능한 기준을 설정하여 평가 보고서를 환경에 맞게 사용자 지정할 수 있습니다.
필수 조건
이 기능은 SSMS(SQL Server Management Studio) v17.4 이상에서만 사용할 수 있습니다. 여기에서 최신 버전을 찾을 수 있습니다.
시작하기
데이터베이스에서 취약성 검사를 실행하려면 다음 단계를 수행합니다.
SQL Server Management Studio를 엽니다.
SQL Server 데이터베이스 엔진의 인스턴스 또는 localhost에 연결합니다.
데이터베이스를 확장하고 데이터베이스를 마우스 오른쪽 단추로 클릭하고 작업을 가리킨 다음, 취약성 평가를 선택하고 취약성 검사...를 선택합니다.
시스템 데이터베이스 중 하나를 검색하여 서버 수준 문제를 확인하는 검사를 실행할 수 있습니다. 시스템 데이터베이스를 확장하고 master 데이터베이스를 마우스 오른쪽 단추로 클릭한 후 작업을 가리킨 다음, 취약성 평가를 선택하고 취약성 검사...를 선택합니다.
자습서
다음 단계를 사용하여 데이터베이스에서 취약성 평가를 실행하고 관리합니다.
1. 검사 실행
취약성 검사 대화 상자에서 검사 결과를 저장할 위치를 지정할 수 있습니다. 기본 위치를 그대로 두거나 찾아보기…를 선택하여 검사 결과를 다른 위치에 저장할 수 있습니다.
검사할 준비가 되면 확인을 선택하여 데이터베이스에서 취약성을 검사합니다.
참고
검색 작업은 간단하며 안전합니다. 실행하는 데 몇 초 정도 소요되며 모두 읽기 전용입니다. 데이터베이스에 어떠한 변경 사항도 발생하지 않습니다.
2. 보고서 확인
검사가 완료되면 검사 보고서가 기본 SSMS 창에 자동으로 표시됩니다. 보고서는 발견된 문제 수와 해당 심각도 등 보안 상태에 대한 개요를 제공합니다. 결과에는 모범 사례의 문제에 대한 경고뿐 아니라 보안 관련 설정의 스냅샷이 포함됩니다. 이러한 설정에는 데이터베이스 보안 주체 및 역할과 관련 사용 권한이 포함됩니다. 또한 검사 보고서는 데이터베이스에서 검색된 중요한 데이터의 맵을 제공하며 이를 보호하는 데 사용할 수 있는 기본 제공 메서드의 권장 사항을 포함합니다.
3. 결과 분석 및 문제 해결
결과를 검토하여 보고서의 결과 중 사용자 환경에서 실제로 발생하는 보안 문제가 무엇인지 확인합니다. 각 실패한 결과로 드릴다운하여 결과의 영향 및 보안 검사가 실패한 원인을 파악합니다. 보고서에서 제공하는 실행 가능한 수정 정보를 사용하여 문제를 해결합니다.
4. 기준 설정
평가 결과를 검토할 때 특정한 결과를 해당 환경에서 허용 가능한 기준으로 표시할 수 있습니다. 기준은 기본적으로 결과를 보고하는 방법의 사용자 지정입니다. 기준과 일치하는 결과는 후속 검색을 통과하는 것으로 간주합니다.
기준 보안 상태를 설정한 후에는 VA가 기준의 문제만 보고하므로 관련 문제에만 주의를 기울일 수 있습니다.
5. 사용자 지정된 추적 보고서 확인을 위한 새 검사 실행
규칙 기준 설정을 완료한 후 새 검색을 실행하여 사용자 지정된 보고서를 봅니다. 이제 VA는 승인된 기준 상태에서 벗어난 실패한 보안 문제만 보고합니다.
6. 이전에 실행한 검사 열기
기존 검사를 열어 이전에 실행된 취약성 평가 결과를 언제든지 볼 수 있습니다. 이렇게 하려면 데이터베이스를 마우스 오른쪽 단추로 클릭하고 작업을 가리키고 취약성 평가를 선택한 다음 기존 검사 열기…를 선택합니다. 보려는 검사 결과 파일을 선택하고 열기를 선택합니다.
파일->열기 메뉴를 통해 기존 검색 결과를 열 수도 있습니다. 취약성 평가를 선택하고 검사 디렉터리를 열어 보려는 검사 결과를 찾습니다.
VA를 사용하여 데이터베이스가 항상 높은 수준의 보안을 유지하고 조직 정책을 충족하는지 모니터링할 수 있습니다. 규정 준수 보고서가 필요한 경우 VA 보고서는 규정 준수 프로세스를 용이하게 하는 데 도움이 될 수 있습니다.
PowerShell을 사용하여 취약성 평가 관리
PowerShell cmdlet을 사용하여 프로그래밍 방식으로 SQL Server 인스턴스에 대한 취약성 평가를 관리할 수 있습니다. cmdlet을 사용하여 프로그래밍 방식으로 평가를 실행하고, 결과를 내보내고, 기준을 관리할 수 있습니다.
먼저 PowerShell 갤러리 사이트에서 최신 SqlServer PowerShell 모듈을 다운로드합니다. 여기에서 자세히 알아볼 수 있습니다.